Ivanti parchea una vulnerabilidad activamente explotada en Ivanti Connect Secure VPN

Un actor malicioso ha puesto en riesgo a los usuarios de la solución de seguridad de red privada virtual (VPN) Ivanti Connect Secure mediante la explotación de una vulnerabilidad de día cero que le ha permitido tener el control sobre la red de dispositivos vinculados.

Ivanti identificó dos vulnerabilidades en Ivanti Connect Secure con la herramienta de diagnóstico propia Integrity Checker Tool y otras otras herramientas comerciales de supervisión de la seguridad, que se han registrado como CVE-2025-0282 y CVE-2025-0283.

La primera de ellas es una vulnerabilidad de día cero que, como han informado desde Mandiant (subsidiaria de Google), ha sido explotada activamente por un presunto actor de espionaje vinculado a China desde diciembre de 2024, como informan en una nota de prensa.

Los atacantes instalaron DRYHOOK y PHASEJAM en la red, dos 'malware' que no se habían visto anteriormente, y también uno conocido, SPAWN. Con ellos, pudieron ejecutar código remoto para tomar el control de los sistemas afectados, así como instalar puertas traseras para mantener el acceso a ellos.

También se ha identificado un movimiento lateral, que ha permitido a los atacantes moverse dentro de las redes para expandir su acceso, lo que podría resultar en un impacto descendente más allá del dispositivo.

Un dato que han destacado los investigadores de Mandiante, es que el atacante utilizó "el malware personalizado PHASEJAM para establecer un punto de apoyo inicial en el sistema y evitar que las actualizaciones del sistema se instalen".

De esta forma, mantenían el acceso a la red de dispositivos conectados a través de las actualizaciones del sistema, mediante el bloqueo silencioso del proceso de actualización legítimo.

La propia Ivanti ha hecho públicas las vulnerabilidades este jueves, que ya han sido parcheadas.